Průšvih za 34 milionů dolarů



Naši společnost si firemní zákazníci často zvou, když u nich dojde k nějakému průšvihu spojenému s krádeží nebo s únikem dat; případ, o kterém tady bude řeč, je ale opravdu unikátní. Tentokrát jde totiž o průšvih ďábelských rozměrů - o krádež finančních dat obsahujících mimo jiné informace o pěti tisících velmi bohatých klientech; a škoda, která byla způsobena, dosáhla 34 milionů dolarů.

Ale nechci začínat od prostředka, a proto se teď raději vrátím k okamžiku, kdy se celý problém zrodil. A kdy ještě nikdo neměl tušení, jak velký vlastně bude. Ani jeho pachatel, ani další zaměstnanci firmy, jíž se dotkl. Mimochodem - dotčena byla společnost, která je opravdu velkým poskytovatelem finančních služeb. Působí po celém světě, zaměstnává více než 30 tisíc lidí a dále popisované trable se odehrály v její divizi zaměřené na správu investic.

Máte vyhazov

Celý příběh začal v okamžiku, kdy se jeden manažer z oddělení privátníhoI vlastní zaměstnanci způsobují mnohdy velmi rozsáhlé škody.
I vlastní zaměstnanci způsobují mnohdy velmi rozsáhlé škody.
bankovnictví dozvěděl, že se jeho oddělení zavírá - a že všechny investiční operace budou zajišťovány z jiné země formou outsourcingu. Muž se rozhodl, že to nenechá jen tak - a o několik dní později si zkopíroval jména, kontaktní údaje a další data nejbohatších klientů společnosti na svůj USB disk. Mimochodem - tento seznam obsahoval záznamy řady skutečně důležitých lidí, politiky počínaje a nejrůznějšími celebritami - včetně známých sportovců - zdaleka nekonče.

Zaměstnanec, který se rozhodl ukrást data své firmy, měl za sebou více než 15 let práce v oboru a více než 5 let působil na své současné pozici. Vždy odváděl velmi dobrou práci a svými nadřízenými byl kladně hodnocen. Neexistoval ani malý náznak, že by mohl spáchat krádež tohoto druhu. I proto měl zřejmě velmi široká práva přístupu do některých kritických informačních systémů.

Klienti si stěžují a začíná vyšetřování

Krádež dat byla objevena asi 3 měsíce poté, co se odehrála. Jak se to stalo? Několik z oněch velmi bohatých zákazníků si stěžovalo, že je oslovila konkurenční firma. A ne ledajak: Vše podle nich nasvědčovalo tomu, že její makléři mají k dispozici důvěrné informace o jejich účtech, o posledních obchodech i o preferencích, které nikdo neměl znát. Tedy - nikdo kromě nich a firmy, která byla okradena o data.

Firemní oddělení IT bezpečnosti zahájilo ve spolupráci s externími auditory pečlivé vyšetřování, při němž byl zjištěn download dat ze systémů. Ukázalo se rovněž, že jej provedl bývalý zaměstnanec, který nyní pracuje u té konkurenční firmy.

Škoda, kterou způsobil, zahrnovala poškození dobrého jména firmy, náklady na obhájce, náklady na konzultace a také ztráty způsobené odchodem klientů. Nebylo jich málo: Mimo jiné odešlo přibližně osm procent velmi významných firemních zákazníků. Celková škoda tak byla odhadnuta na 34 milionů amerických dolarů.

Je třeba přijmout opatření

A právě v době, kdy se problém provalil a firma začala zvažovat, jak napříště podobným událostem zabránit, jsme vstoupili na scénu my. Prostudovali jsme všechny dostupné informace ohledně práce firmy s daty i o celém incidentu. Podle našeho názoru mu bylo možné zabránit a v tomto smyslu jsme informovali i klienta.

V důsledku celé události pak byla přijata řada zásadních opatření. Ředitel firmy ve spolupráci s jejím představenstvem iniciovali vznik nových pravidel ochrany dat a vytvoření oddělení zodpovědného za jejich ochranu. Vznikla pozice šéfa ochrany dat na mezinárodní úrovni. Firma nyní provádí intenzivní audity monitoringu a shody s pravidly. Byly rovněž nasazeny systémy SIEM (Security IntElligence systeMs), které pomáhají v reálném čase identifikovat podezřelé transakce, a to především u privilegovaných uživatelů.

Jakkoli jsem v úvodu zmínil, že šlo o unikátní případ, nelze tvrdit, že se podobné problémy vyskytují zřídka. I když v nich ale třeba nejde o tak bohaté klienty a celebrity, případně škoda nedosahuje takových rozměrů, pro firmy jsou vážné. Smutné je, že bezpečnostní opatření jsou mnohdy zaváděna nikoli preventivně, ale až dodatečně.

(Autorem příspěvku je Dr. Larry Ponemon, který se specializuje na problematiku ochrany dat a informační etiku. V roce 2002 založil Ponemon Institute, výzkumné centrum zaměřené na pokročilé metody ochrany dat a soukromí. Mezi jeho další aktivity patřila nebo patří spolupráce s významnými soukromými i veřejnými organizacemi na projektech spojených s hodnocením rizik a s ochranou dat. V listopadu 2011 zpracoval Dr. Larry Ponemon pro společnost Kingston Technology nezávislou studii „Stav bezpečnosti USB v Evropě“, která zkoumala úroveň USB bezpečnosti v deseti evropských státech. Tuto studii máme nyní k dispozici a to nejzajímavější z ní pro vás připravujeme.)


(9. 1. 2012 | redakce2)


Předcházející článek: <<< Deset let staré slabiny v počítačovém softwaru <<<
Následující článek: >>> Bezpečný veřejný cloud >>>

Tento článek je součástí těchto speciálů:

Bezpečnost v IT: Nepodceňujte aktuální rizika


Problematika bezpečnosti IT se ještě stále mnohde podceňuje.

Málokteré téma je tak rozporuplné jako bezpečnost IT: Na jednu stranu se o ní stále mluví a všichni si uvědomujeme, kde případně může hrozit průšvih, na druhou stranu řada z nás prostě doufá, že bude mít zase štěstí a průšvih nenastane. Ještě chvíli nám to štěstí musí vydržet, ale pak, pak už dokončíme všechny plánované bezpečnostní projekty a všechno bude OK. Ale co když nás štěstí opustí? V tomto speciálu vám nabízíme pohled na vybraná rizika, a to z pohledu statistik i ve formě přehlídky možných řešení.




Nejlepší historky z IT: Příběhy skutečných lidí


Příběhy z IT

Možná je to laciné, možná podbízivé, možná až nevkusné, ale nemohli jsme odolat: Některé příběhy lidí z IT, které jsme slyšeli, nám přišly tak zajímavé (a, přiznáváme se, pobavily nás), že jsme se rozhodli jim věnovat samostatný speciál. A pokud je snad nechcete číst prostě jen pro zábavu, nepochybně se v nich skrývá i nějaké to poučení.



Následující článek: >>> Skutečný příběh: Vzal jsem servery a utíkal před povodní >>>

Komentáře, názory a rady

Typický
živě si vzpomínám na devadesátý léta, kdy kde kdo odcházel od zaměstnavatele se seznamem klientů a zakládal s ním vlastní byznys. A ani ten seznam nemusel být na kompu. Jinak ta škoda bych tipoval bud...
No
to je teda vyzivnej clanek... Poklona panu redaktorovi, neco takoveho vypotit je fakt vykon....

>>> Číst a vkládat komentáře <<<

Tip - Konference: Mobilní řešení pro byznys - 21.9.2017!


Otázky a odpovědi z IT: Diskusní portál Bizio.cz
Pozoruhodné IT produkty pro rok 2017 - Nové
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.




Anketa


©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(230)